本發(fā)明涉及的是一種在三層交換機(jī)多網(wǎng)段環(huán)境下對(duì)局域網(wǎng)電腦的上網(wǎng)行為、上網(wǎng)內(nèi)容進(jìn)行控制、過濾和記錄的方法。
背景技術(shù):
當(dāng)前一般的網(wǎng)管軟件在控制三層交換機(jī)多網(wǎng)段的網(wǎng)絡(luò)環(huán)境下電腦的上網(wǎng)行為,常常需要將網(wǎng)管軟件所在的網(wǎng)絡(luò)設(shè)備串接在三層交換機(jī)上面和出口網(wǎng)關(guān)設(shè)備之間,通過安裝網(wǎng)管軟件的網(wǎng)絡(luò)設(shè)備的一個(gè)接口連接三層交換機(jī)靜態(tài)路由所在的網(wǎng)段的一個(gè)端口,另一個(gè)接口連接出口網(wǎng)關(guān)設(shè)備,并且使得兩個(gè)接口通過搭建網(wǎng)絡(luò)橋的方式來實(shí)現(xiàn)通訊,然后網(wǎng)管軟件通過捕獲經(jīng)過網(wǎng)絡(luò)橋的局域網(wǎng)電腦的上下行數(shù)據(jù)報(bào)文的方式來實(shí)現(xiàn)對(duì)局域網(wǎng)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容進(jìn)行監(jiān)控。但是,這種網(wǎng)管軟件的部署方式,一方面需要部署專門的網(wǎng)絡(luò)設(shè)備,并且在監(jiān)控設(shè)備安裝兩個(gè)網(wǎng)卡,并需要將兩個(gè)網(wǎng)卡搭建網(wǎng)絡(luò)橋,這種方式加大了部署網(wǎng)管軟件的成本,設(shè)置也較為復(fù)雜,增加了網(wǎng)管人員的工作量;另一方面,由于局域網(wǎng)電腦的上下行數(shù)據(jù)報(bào)文均通過網(wǎng)絡(luò)橋進(jìn)行傳輸,這使得一旦網(wǎng)管軟件所依附的網(wǎng)絡(luò)設(shè)備出現(xiàn)單點(diǎn)故障,將會(huì)使得整個(gè)局域網(wǎng)的公網(wǎng)通訊被切斷,從而使得局域網(wǎng)大面積斷網(wǎng)、掉線的現(xiàn)象,對(duì)局域網(wǎng)通訊的安全、穩(wěn)定和暢通造成較為嚴(yán)重的危害。
本發(fā)明的獨(dú)到之處就是:通過將網(wǎng)管軟件所在的網(wǎng)絡(luò)設(shè)備直接連接到三層交換機(jī)直連出口網(wǎng)關(guān)的所在網(wǎng)段內(nèi)一個(gè)端口上,并將網(wǎng)管軟件所在的網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)的IP地址設(shè)置為出口網(wǎng)關(guān)設(shè)備的IP地址,這樣即可與出口網(wǎng)關(guān)設(shè)備進(jìn)行通訊,然后網(wǎng)管軟件通過向三層交換機(jī)直連出口網(wǎng)關(guān)的虛擬接口發(fā)送ARP報(bào)文信息,將虛擬接口ARP表中所存儲(chǔ)的出口網(wǎng)關(guān)設(shè)備的MAC地址更改為安裝網(wǎng)管軟件的網(wǎng)絡(luò)設(shè)備的MAC地址,這樣三層交換機(jī)所劃分的各個(gè)網(wǎng)段內(nèi)的電腦的數(shù)據(jù)報(bào)文都發(fā)向了網(wǎng)管軟件所在的網(wǎng)絡(luò)設(shè)備,網(wǎng)管軟件對(duì)于收到的數(shù)據(jù)報(bào)文安裝既定的過濾、控制規(guī)則進(jìn)行匹配,以此來決定是否放行并轉(zhuǎn)發(fā)到出口網(wǎng)關(guān)或者丟棄以阻止電腦的上網(wǎng)行為。通過這種部署網(wǎng)管軟件的方式,一方面可以降低部署網(wǎng)管軟件的成本,無需專門的網(wǎng)絡(luò)設(shè)備、也不需要部署雙網(wǎng)卡;另一面,當(dāng)網(wǎng)管軟件設(shè)備出現(xiàn)故障的時(shí)候,由于出口網(wǎng)關(guān)設(shè)備會(huì)定時(shí)向三層交換機(jī)的靜態(tài)路由所在的虛擬接口發(fā)送出口網(wǎng)關(guān)設(shè)備的IP和MAC地址信息,從而可以三層交換機(jī)的靜態(tài)路由的虛擬接口ARP表中所存儲(chǔ)的網(wǎng)關(guān)的MAC地址糾正過來并直接指向出口網(wǎng)關(guān)設(shè)備,從而自動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)恢復(fù),不至于出現(xiàn)網(wǎng)絡(luò)大面積斷網(wǎng)和掉線的現(xiàn)象,從而保護(hù)了網(wǎng)絡(luò)的安全、穩(wěn)定和暢通。
技術(shù)實(shí)現(xiàn)要素:
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)大都踏上了互聯(lián)網(wǎng)的快車,紛紛采用各種網(wǎng)絡(luò)技術(shù)、電子技術(shù)來通過網(wǎng)絡(luò)進(jìn)行工作:但是由于網(wǎng)絡(luò)的無限開放性,以及對(duì)網(wǎng)絡(luò)有效管理的缺失,給廣大企業(yè)事業(yè)單位帶來極大的網(wǎng)絡(luò)管理問題。如:員工在工作時(shí)間在網(wǎng)絡(luò)上用各種P2P軟件下載大量的娛樂資料,這些P2P工具可以耗盡企業(yè)的帶寬,導(dǎo)致了企業(yè)正常的網(wǎng)絡(luò)無法使用;同時(shí),員工還瀏覽大量與工作無關(guān)的網(wǎng)址,如色情、反動(dòng)、暴力等,造成了極壞的影響,浪費(fèi)了工作時(shí)間,還容易導(dǎo)致網(wǎng)絡(luò)病毒泛濫,嚴(yán)重影響企業(yè)的正常工作,降低了工作效率;同時(shí),由于網(wǎng)絡(luò)傳輸?shù)谋憬菪裕沟酶咚俚馁Y料傳輸成為可能,某些員工通過郵件、HTTP/FTP傳輸、聊天等方式把企業(yè)重要的商業(yè)機(jī)密、專有技術(shù)盜取并謀取私利,嚴(yán)重危害了企業(yè)的利益,給企業(yè)帶來重大損失。綜上所述,一套行之有效的網(wǎng)絡(luò)管理系統(tǒng)就成為企業(yè)網(wǎng)絡(luò)管理的必需。
本發(fā)明技術(shù)方案如下:首先,需要將安裝網(wǎng)管軟件的網(wǎng)絡(luò)設(shè)備(可以是普通電腦、服務(wù)器或者嵌入式、工業(yè)控制機(jī)等),直接連接到三層交換機(jī)直連上層出口網(wǎng)關(guān)設(shè)備的網(wǎng)段所在的一個(gè)端口上,并將此網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)的IP地址設(shè)置為出口網(wǎng)關(guān)設(shè)備的IP地址,這樣安裝網(wǎng)管軟件的網(wǎng)絡(luò)設(shè)備也就可以和出口網(wǎng)關(guān)設(shè)備進(jìn)行通訊;而網(wǎng)管軟件通過向直連出口網(wǎng)關(guān)設(shè)備的三層交換機(jī)的靜態(tài)路由所在的虛擬接口發(fā)送ARP報(bào)文,將虛擬接口的ARP表中所存儲(chǔ)的網(wǎng)關(guān)設(shè)備的MAC地址更改為網(wǎng)管軟件所在的網(wǎng)絡(luò)設(shè)備的MAC地址,這樣局域網(wǎng)各個(gè)網(wǎng)段的電腦的數(shù)據(jù)報(bào)文就直接發(fā)送的網(wǎng)管軟件所在的網(wǎng)絡(luò)設(shè)備了,然后網(wǎng)管軟件將捕獲到的局域網(wǎng)電腦的數(shù)據(jù)報(bào)文按照既定的過濾、控制和轉(zhuǎn)發(fā)規(guī)則進(jìn)行處理,并決定是否轉(zhuǎn)發(fā)到出口網(wǎng)關(guān)設(shè)備或者直接丟棄的方式來達(dá)到控制局域網(wǎng)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容的目的。
按照本軟件的技術(shù)特征,可以用任意的編程語言來實(shí)現(xiàn)。依照本原理編寫的網(wǎng)管軟件由于是部署在三層交換機(jī)的直連上層出口網(wǎng)關(guān)設(shè)備的網(wǎng)段內(nèi),從而可以實(shí)現(xiàn)對(duì)三層交換機(jī)劃分多個(gè)網(wǎng)段的大規(guī)模網(wǎng)絡(luò)環(huán)境下電腦的集中監(jiān)控;同時(shí),網(wǎng)管軟件由于可以隨時(shí)發(fā)送ARP報(bào)文對(duì)虛擬接口所存儲(chǔ)的ARP表中的網(wǎng)關(guān)的MAC地址進(jìn)行更改,所以也可以在特殊情況下可以迅速發(fā)送ARP恢復(fù)報(bào)文,將虛擬接口ARP表中存儲(chǔ)的網(wǎng)關(guān)的MAC地址更改為出口網(wǎng)關(guān)設(shè)備的MAC地址,這樣可以迅速解除監(jiān)控,而不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、無需人工干預(yù),幫助網(wǎng)管實(shí)現(xiàn)智能管理。
具體實(shí)施方式
在實(shí)際部署中,要根據(jù)三層交換機(jī)的網(wǎng)段劃分來部署網(wǎng)管軟件。例如,三層交換機(jī)直連出口網(wǎng)關(guān)設(shè)備的網(wǎng)段的虛擬接口的IP地址是192.168.1.1,那么三層交換機(jī)的所有網(wǎng)段的虛擬接口的靜態(tài)路由都會(huì)指向192.168.1.1,并且所有網(wǎng)段的所有電腦的數(shù)據(jù)報(bào)文均由192.168.1.1所在的虛擬接口向出口網(wǎng)關(guān)設(shè)備(假設(shè)為192.168.1.254,00-0b-2f-03-dc-9c)轉(zhuǎn)發(fā)。那么,我們可以將網(wǎng)管軟件所在的網(wǎng)絡(luò)設(shè)備接入到三層交換機(jī)直連出口網(wǎng)關(guān)設(shè)備的網(wǎng)段的一個(gè)端口上,然后將其IP地址設(shè)置為192.168.1.2,網(wǎng)關(guān)的IP地址設(shè)置為192.168.1.254,這樣我們就可以直接和出口網(wǎng)關(guān)設(shè)備進(jìn)行通訊了;然后網(wǎng)管軟件會(huì)向虛擬接口192.168.1.1發(fā)送ARP報(bào)文信息,將虛擬接口的ARP表中存儲(chǔ)的網(wǎng)關(guān)的MAC地址00-0b-2f-03-dc-9c更改為部署網(wǎng)管軟件的網(wǎng)絡(luò)設(shè)備的MAC地址(假設(shè)為00-19-5b-14-f7-50),這樣三層交換機(jī)所有網(wǎng)段的數(shù)據(jù)包都會(huì)發(fā)送到網(wǎng)管軟件所在的MAC地址00-19-5b-14-f7-50,然后網(wǎng)管軟件根據(jù)既定的控制、過濾和轉(zhuǎn)發(fā)規(guī)則對(duì)數(shù)據(jù)報(bào)文進(jìn)行處理后決定是否轉(zhuǎn)發(fā)到出口網(wǎng)關(guān)設(shè)備或者直接丟棄,以此來達(dá)到控制局域網(wǎng)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容的目的。